Hallo,

bei mir ist ganz schön der Wurm drin.... (im wahrsten sinne des wortes)

wegen technischen schwierigkeiten beim providerwechsel hab ich seit knapp 2 wochen kein internet mehr.
Vor 2 tagen hat mir mein nachbar nun ermöglicht, dass ich mich in sein wlan-netz mit einwählen kann.
Anfangs hat das super geklappt, jedoch seit gestern hat mein laptop (mit dem ich beim nachbarn ins netz gehe) begonnen, rumzuspinnen. Er ist, wenn ich mich eingewählt habe, nach wenigen minuten immer langsamer geworden, bis ich nicht mal mehr die maus bewegen konnte und er dann schliesslich ganz stehen geblieben ist.
Erst dachte ich, dass mein (schon etwas betagter) laptop einfach ressourcen-probleme hat und mit der alice-dsl-software evtl. nicht ganz klarkommt.
Ich musste den laptop öfter neubooten und bei jeder netzeinwahl ist er aber immer nach noch kürzerer zeit stehen geblieben. (im übrigen arbeitet er jedoch nach wie vor einwandfrei, wenn ich nicht online bin).
(Dieses problem hatte ich mit meinem eigenen wlan-netz allerdings noch nie!!)

Plötzlich hat aber mein antivir begonnen, verschiedene files als virus, trojaner, heuristischen treffer zu kennzeichnen, u.a. wirre dateien wie QRTSHFFJS.exe (oder so ähnlich) sowie auch programme von mir wie z.b. irfanview (iview.exe u.ä.) oder die „helligkeits-software“ meines bildschirmes (quickgammaloader.exe) usw...

kurz später erschien eine nachricht auf meinem bildschirm, ich solle auf www.regrenew.com gehen, meine registry wäre verändert, ich solle sie updaten.
Googeln im büro hat ergeben, dass es sich um irgendsonen hijack-trojaner oder so handelt.

Mein grösstes problem: kann es sein, dass antivir evtl. selbst auch befallen ist?
Antivir lässt sich nicht öffnen, läuft allerdings von vornherein scheinbar im hintergrund (es kommen immer wieder viren-funde), das programm lässt sich auch nicht beenden und auch nicht mehr deinstallieren, nichts...
selbst ein neues antivir kann ich nicht drüberinstallieren, es kommt immer dieselbe fehlermeldung: bei antivir wäre die CRC-summe verändert, dies könnte durch einen virus verursacht worden sein...
leider habe ich ein paar files durch antivir-fehlermeldungen in quarantäne verschoben (z.b. irfanview, vielleicht auch files des BS). Da ich auf antivir nicht mehr zugreifen kann, kann ich dies nicht rückgängig machen. Ich vermute nämlich, dass diese virenmeldungen falschmeldungen sind!?!

Ich hab mir antiviren-software vom büro auf meinen USB-stick runtergeladen, ad-aware, eben auch ein neues antivir, antimalware, hijackthis, regcleaner und alles über meinen laptop und den USB-stick laufen lassen. Es wurde einiges auf dem laptop gefunden, allerdings bleibt mein laptop immer noch lahm, wenn ich online gehe.

Und jetzt kommt noch einer oben drauf:
ich hab meinen USB-stick heute morgen auch an meinen desktop-PC angeschlossen, um mir files rüberzuziehen, plötzlich fängt das antivir an diesem PC an, meine passwortverwaltung, die auf dem USB-stick liegt, als virus zu erkennen..!? diese habe ich mir im büro als USB-stick-version runtergezogen, um von anderen PCs auf meine online-dienste zugreifen zu können, solange bei mir nichts funktioniert...

kann mir jemand helfen, was hier los ist?
Was kann ich nun tun?

Leider kann ich auch von meinen antiviren/malware-programmen keine updates durchführen, weil ich nur mit dem laptop derzeit ins netz komme und der sich aufhängt, wenn ich mich einwähle.


PS: hier mein hijackthis-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:23, on 01.03.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ezSP_Px.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\logon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1735127E-A2C4-9C30-50F6-B47AF3667200} - C:\DOKUME~1\FRANKT~1\ANWEND~1\FORKMP3\GridBlah.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Aimgreatdriveabout] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Debug Type Aim Great\Grid delete.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\logon.exe
O4 - HKCU\..\Run: [Ref manager] C:\DOKUME~1\FRANKT~1\ANWEND~1\README~1\dupecoolteam.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TridentService (TriServ) - Unknown owner - C:\WINNT\system32\triserv.exe (file missing)

--
End of file - 5857 bytes



vielen dank schonmal für die hilfe.

Hallo.
Habe dein Log mal durchgecheckt.
Bitte folgendes fixen:

Edit by [GC]Sunny

Bitte hier nicht einfach irgendwas fixen, das bringt sowieso nichts!

Lies dir das durch -> http://www.trojaner-board.de/69603-f...dem-forum.html

Danke

@vicwooten

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Suppr um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)


danach:

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

hallo,
vielen dank schonmal für die hilfe.
leider scheint lop s&d bei mir nicht zu laufen (evtl. wegen windows 2000?).
es bricht nach auswahl der sprache ab. das fenster geht einfach zu.

ich hab trotzdem Malwarebytes drüberlaufen lassen (und vorher manuell updaten können).
beim scannen der festplatte meldet sich immer zwischendrin antivir, welches virenfunde anzeigt (clvs.exe, defpopyview.exe.... irfanview-files, quickgamma.exe und auch lop sd/catchme.exe), ich hab jetzt immer auf ignorieren geklickt...
malwarebytes hat 2 files gefunden, die ich entfernt habe:

Zitat:

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows logon application (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINNT\system32\logon.exe (Trojan.Agent) -> Delete on reboot.

bin ich den virus jetzt los oder steckt der noch in den .exe files - oder sind die jetzt einfach "nur" kaputt?

danke.

Zitat:

Zitat von Proof-Fan

Hallo.
Habe dein Log mal durchgecheckt.
Bitte folgendes fixen:

Edit by [GC]Sunny

Bitte hier nicht einfach irgendwas fixen, das bringt sowieso nichts!

Lies dir das durch -> http://www.trojaner-board.de/69603-f...dem-forum.html

Danke

Was soll denn der Mist?
Ich hab alles geschrieben, was man nichtmehr braucht / was mit Viren verseucht war!!

Zitat:

Zitat von Proof-Fan

Was soll denn der Mist?

Was der Mist soll?
Ganz einfach, mit deiner Aktion Einträge zu fixen hättest du nichts erreicht, ganz im Gegenteil, durch diese Aktion hätte es zu Fehlermeldungen und eventuell sogar zu abstürzen des Systems kommen können.

Deshalb habe ich deinen Beitrag editiert -> http://www.trojaner-board.de/69603-f...dem-forum.html

@vicwooten

Bitte das ausführen:


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

so...hallo...
endlich habe ich zuhause wieder internet und kann von meinem desktop PC schreiben....

Zitat:

Zitat von [GC]Sunny

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.

antivir lässt sich ja bei mir nicht mehr öffnen/schliessen/deinstallieren. es läuft also nach hochfahren des laptops sofort im hintergrund und lässt sich nicht beenden.
kann ich combofix trotzdem starten?

und: soll ich meinen infizierten USB-stick an meinen laptop mit anschliessen, wenn ich combofix benutze?

PS: vielleicht interessant!?: ich habs geschafft, mit meinem laptop eine infizierte datei (antivir-removal-tool_de.exe) auf virustotal hochzuladen:
http://www.virustotal.com/de/analisis/afec1f8fb0bf5e99d78bebce933ae79b

ist also ein virut.
bei den infizierten .exe-dateien meldet antivir meist einen TR/crypt.u.gen.
ausserdem findet antivir jedesmal eine
infizierte system32/clvs.exe (TR/crypt.u.gen)
und eine infizierte system32/AEQTUDF.exe (HEUR/crypted).
ausserdem dokumente und einstellungen/../anwendungsdaten/readmemediabeep/popdefyview.exe (TR/crypt.XPACK.Gen).

über diese files kann ich im netz nichts finden, auch HijackThis und Malwarebytes haben diese files nicht als verdächtig eingestuft, bzw. gefunden.

da mein laptop ein paar minuten nach einwählen ins netz wieder stehen geblieben ist (trotz vernichten des eigtl. trojaners in der logon.exe), habe ich Malwarebytes nochmal drüberlaufen lassen, jetzt hat er in der registry und im system32 einen spoolsv.exe backdoor.bot gefunden (der vermutlich für die CPU auslastung zuständig ist!?! - hab ich gerade gegoogelt). hab ich beseitigt.

könnt ihr mir weitere "anweisungen" geben?
vielen dank!